CEH, Certified Ethical Hacker (CEH), Системы обнаружения вторжений (IDS)

#25 Руководство по подготовке сертифицированного этичного хакера (CEH). Обход систем обнаружения вторжений. Брандмауэры и ханипоты.

22.08.202227.02.2024 by Timcore

Здравствуйте, дорогие друзья.

Злоумышленник имеет представление об основных техниках противодействия. Это некий вызов для злоумышленника, чтобы уклониться от контрмер, которые организация реализовала, для проведения более точной защиты. Этическому хакеру необходимо понимание функций и безопасности проблемы, связанные с внедрением таких технологий. В этой главе Вы узнаете о технологиях, используемые администраторами для защиты сети. Вы также познакомитесь с методами и системами обнаружения вторжений, типами доступных брандмауэров, и как идентифицировать атаку на внутреннюю сеть.

К концу этой главы Вы сможете

1. Определять системы и методы обнаружения вторжений.

2. Определять классы брандмауэров.

3. Дать определение ханипотов.

4. Анализировать внутренний и внешний сетевой трафик с помощью вторжений системы обнаружения.

Методы обнаружения вторжений

Система обнаружения вторжений (IDS) собирает и анализирует информацию из компьютера или сети, для выявления вторжений и неправомерного использования. IDS требует непрерывного мониторинга, чтобы играть эффективную роль в сетевой безопасности. Система обнаружения вторжений использует распознавание сигнатур, которые идентифицируют события, и могут указывать на злоупотребление системой. Она сильно зависит от предопределенного набора шаблонов атак и трафика, называемых сигнатурами. Обнаружение аномалий основано на эвристике или правилах поведения, которые можно назвать базовыми. Базовые уровни устанавливаются во время нормальной работы сети, и операции, поскольку они отслеживают активность и пытаются классифицировать ее как, либо «нормальный» или «аномальный». Обнаружение аномалий протокола основано на аномалии, характерной для протокола, и идентифицирует специфичные для протокола TCP/IP недостатки. В настоящее время алгоритмы машинного обучения (ML) используются для обнаружения аномалий.

Типы IDS

IDS может быть реализована в различных формах, начиная с отдельного приложения к функции, встроенной в операционную систему коммутатора или маршрутизатора. Она также может быть размещена на хосте, в виде приложения или функции операционной системы или базы данных. При классификации IDS, мы обычно различаем два типа: хостовые и сетевые. Для обнаружения возможной атаки или подозрительного поведения, хост-системы анализируют сигнатуры и аномалии на родном хосте. Сетевая IDS (NIDS) находится на граничных маршрутизаторах или устройствах, и идентифицирует необычный сетевой трафик или сигнатуры сетевой атаки. Средство проверки целостности системы (SIV) управляет системными файлами и отслеживает изменения основных объектов системы. Log File Monitor (LFM) отслеживает файлы журналов, создаваемые сетевыми службами.

Размещение IDS

Размещение системы IDS имеет решающее значение для ее эффективности и способности интерпретировать вторжения. Система IDS может быть размещена снаружи межсетевого экрана, в качестве системы раннего предупреждения, в демилитаризованной зоны или в частной сети.

При размещении за пределами брандмауэра, генерирует большое количество сигналов тревоги. Система IDS также может находиться на любом хосте в сети, что позволяет ее видеть и анализировать трафик, проходящий в корпоративную сеть. Когда она размещена после брандмауэра, это приводит к меньшему количеству сигналов тревоги. Как правило, IDS на основе хоста находится в наиболее важных системах, включая серверы баз данных, важных серверах приложений и системах сетевого администрирования.

Признаки вторжения

Есть определенные признаки, которые явно указывают на присутствие злоумышленника. Злоумышленники изменяют системные файлы и конфигурации, чтобы скрыть признаки взлома. Важно знать признаки вторжения.

Вторжения в систему: Индикаторы вторжения в систему включают неспособность идентифицировать действительного пользователя или новую учетную запись пользователя, входы в систему во время рабочего времени, и пробелы в файлах аудита или файлах журналов.

Вторжения в файловую систему: Индикаторы вторжений в файловую систему включают новые файлы или программы в системе, измененные права доступа к файлам и отсутствующие файлы, а также необъяснимые изменения в размерах файлов.

Сетевые вторжения: индикаторы сетевых вторжений могут иметь внезапное увеличение потребления трафика, повторные попытки удаленного входа в систему, и повторяющиеся проверки доступных сервисов системы.

После того, как IDS обнаружит атаку

После того, как система обнаружения вторжений укажет на возможную атаку, администратор должен выполнить несколько действий:

Настройте брандмауэр для фильтрации IP-адреса злоумышленника.

Предупредите администратора.

Запишите событие в журнал.

Сохраните информацию об атаке.

Сохраните файл трассировки необработанных пакетов для анализа.

Обработайте событие.

Принудительно прервите соединение.

IDS-атаки

Существует несколько атак, которые можно запустить против IDS. Атака вставки сбивает с толку IDS, заставляя ее читать недопустимые пакеты. Атака уклонения происходит, когда IDS отбрасывает пакет, но хост, который должен был получить пакет, принимает его. Против IDS можно использовать многие типы DoS-атак. Десинхронизация использует SYN-пакеты, после подключения и предварительной связи. IDS может быть не в состоянии обнаружить вредоносную программу, которая была пропущена через обфускатор, потому что обфускатор делает трудную для понимания программу. Злоумышленник может направить атаку вокруг IDS, передав его. Они также могут использовать методы фрагментации или сессии, объединения для обхода IDS, путем разделения строки на несколько пакетов.

Системы предотвращения вторжений

Системы предотвращения вторжений могут быть настроены для контроля операций маршрутизатора, операций переключения, операций брандмауэра, и беспроводной сети. Основываясь на обнаружении сигнатур и аномалий, IPS может принимать корректирующие действия, для предотвращения вторжения или нападения. Предупреждение IPS также уязвимо для ложных срабатываний, поэтому знания оператора, и способность определения ложного срабатывания, имеет решающее значение, для предотвращения произвольного срабатывания отказа в разрешенной деятельности IPS. IPS использует упреждающий подход к защите сети, и является расширением обнаружения вторжений. Два типа IPS включают в себя хост-систему и сетевую систему.

IPS на базе хоста устанавливается на защищаемую систему, отслеживает и перехватывает системные вызовы, а также может отслеживать потоки данных, расположение файлов, и параметры реестра для веб-сервера.

Сетевая IPS проверяет трафик на основе политики безопасности, администрирует NIPS на основе контента и проверяет содержимое сетевых пакетов для уникальных последовательностей, а NIPS на основе скорости идентифицирует угрозы, которые отличаются от обычного трафика.

Поток информации

Поток информации одинаков как в IDS, так и в IPS. Процессы изложены ниже.

1. Захват необработанных пакетов

2. Фильтрация

3. Пакетное декодирование

4. Хранилище

5. Сборка фрагмента

6. Потоковая сборка

7. Контроль состояния сеанса TCP

8. Брандмауэр

На этом все. Всем хорошего дня!

#1 Руководство по подготовке сертифицированного этичного хакера (CEH). Введение в этический взлом.